- 2025-12-04 React 與 Next.js 爆發「React2Shell」重大漏洞(CVE-2025-55182 及 CVE-2025-66478)
此漏洞被命名為「React2Shell」,CVSS評分值為滿分10分,React Server Components (RSC)「Flight」通訊協定包含不安全的反序列化處理缺陷,攻擊者無需透過任何身分驗證,發送特製的 HTTP 請求,即可在受害伺服器上執行任意 JavaScript 程式碼,進而完全控制伺服器。 請使用者立即確認相關套件的版本,並盡速完成更新!
【BLEEPINGCOMPUTER】 - 2025-11-03 Cisco IOS與IOS XE 軟體存在高風險安全漏洞,請儘速確認並進行修補
Cisco IOS/IOS XE設備包含CVE-2025-20352漏洞,CVSS評分高達7.7分,在符合特定條件下,攻擊者可透過特製snmp封包觸發堆疊型緩衝區溢位漏洞,不僅可能導致網路中斷(DoS),更恐使攻擊者取得核心網路設備的最高權限,進而攔截、竄改或橫向滲透內部網路,該漏洞被列為「已知遭駭客利用」(Known Exploited Vulnerability, KEV)之一,請管理者盡速確認設備是否為受影響版本,並盡速評估更新!
【國家資通安全研究院】 - 2025-06-06 Cisco ISE包含重大資安漏洞,請管理者盡速確認並更新!
Cisco身分識別服務引擎(Identity Services Engine,ISE)主要管理節點部屬在雲端平台時,因憑證產生方式不當,導致相同版本和平台共用靜態憑證,CVE編號為CVE-2025-20286,CVSS分數高達9.9分,未經身分驗證的遠程攻擊者可透過此漏洞存取敏感資料、修改系統設定或破壞相關服務,請管理者盡速確認是否為受影響版本並進行更新。
【iThome】 - 2025-05-09 PHP函式庫ADOdb包含嚴重風險CVE-2025-46337 漏洞,請盡速更新至v.5.22.9版本
PHP開源函式庫ADOdb的PostgreSQL驅動程式包含CVE-2025-46337的嚴重風險SQL注入漏洞。因pg_insert_id()函數未正確轉義使用者提供的欄位名稱,攻擊者可能藉此漏洞執行任意SQL指令,請儘速更新至修補版本 v5.22.9,以防止潛在威脅遭受攻擊。
【TWCERT】 - 2025-04-05 WinRAR 7.11版本已修復了CVE-2025-31334 漏洞
WinRAR 7.11之前的版本中存在CVE-2025-31334漏洞,攻擊者特製一個包含符號連結(symlink) 的壓縮檔,該連結指向一個惡意程式,使用者透過有漏洞版本的WinRAR軟體開啟時,將會繞過Windows平臺上的Mark of the Web(MoTW)安全告警機制,請有使用該軟體使用者立即更新至最新版本。
【BLEEPINGCOMPUTER】